2023.03.28 行政情報
サイバー被害対応費は平均2400万円?経産省とIPAがセキュリティガイドライン
経済産業省と(独)情報処理推進機構(IPA)はこのほど、ECサイトを活用する中小企業向けに、必要となるセキュリティ対策と実践方法をとりまとめた『ECサイト構築・運用セキュリティガイドライン』を公開した。

経営者に向けてセキュリティ対策の基本を解説
ECサイトへのサイバー攻撃により、個人情報やクレジットカード情報が漏洩する事件が多発している。特に、中小企業が構築・運用するサイトのセキュリティ対策に課題が多くみられることから、経済産業省とIPAでは2022年度に中小企業のECサイトにおける実態把握を目的とした調査や脆弱性診断を行い、ガイドラインを作成する事業を進めてきた。
最近サイバー被害を受けたECサイト運営事業者20社を対象としたヒアリング調査では、1社あたりの顧客情報の平均漏えい件数は約3800件、そのうち事故対応費用を支出した19社では、事故対応費用の平均額が約2400万円に上ったことが分かった。
また、20社のうち75%がECサイト構築プログラムやCMSなどの脆弱性を放置、最新版へのアップデートを怠っていたことや、90%が保守など運用時のセキュリティ対策を実施していなかった。こうした状況を踏まえて経済産業省とIPAは、ECサイトの構築・運用に必要なセキュリティ対策とその実践方法をまとめて解説するガイドラインを作成した。
ガイドラインの最大の特長は、経営者がECサイトにおけるセキュリティ対策の基本を認識できるよう、「第一部」として、まず経営者向けのメッセージを図表やイラストを用いて伝えていることだ。
ECサイトのサイバー被害が経営に及ぼす影響やセキュリティ対策の重要性をデータで示したうえで、セキュリティ確保のために経営者が実行すべきセキュリティ対策の基本を7項目で明示。IPAの「中小企業の情報セキュリティ対策ガイドライン」に記載されている7つの重要項目に基づき、必要な予算と人材の確保や、脆弱性対策のための日常的なセキュリティ運用、緊急時の体制整備などを示し、実務担当者に適切な指示を出せるようにしている。
実務者向けにサイト構築・運用時のセキュリティ対策要件を説明
また、「第二部」として実務者向けにECサイトの構築時、運用時それぞれにおけるセキュリティ対策要件を示し、付録としてチェックリストの形で利用可能にしたことも特長の1つだ。
構築時のセキュリティ対策要件は14、運用時のセキュリティ対策要件は7つの要件で構成され、要件ごとに「必須」「必要」「推奨」と3段階の区分が記載されている。例えば、構築時には「ECサイトの公開前に脆弱性診断を行い、見つかった脆弱性を対策する」、運用時には「サーバおよび管理端末等で利用しているソフトウェアをセキュリティパッチなどにより最新の状態にする」などを必須項目として示し、それぞれ詳しく解説している。
さらに、チェックリストに沿って、自社で対応可能な要件と対応困難な要件を分類するといった手順も詳しく解説。自社で対応困難な要件を外部委託先に依頼するうえでの契約上の確認事項や、さらには契約関係書類のひな型を付録に収録するなど、実践に必要な情報を一気通貫かつ全般的にまとめている。
■『ECサイト構築・運用セキュリティガイドライン』
https://www.ipa.go.jp/files/000109337.pdf
※「資料掲載企業アカウント」の会員情報では「通販通信ECMO会員」としてログイン出来ません。
資料DLランキング
-
1
今注目のライブコマースで変わるこれからのEC
-
2
【無料公開】食品EC「カオスマップ」2025 – 食品EC業界の最新動向
-
3
SHOPLINEがあなたのブランドを世界へ! 越境EC成功の鍵とは
-
4
ペット×ECの未来を拓く!導入事例あり!
-
5
東南アジア最大のECプラットフォーム Shopeeのサービス概要
ニュースランキング
-
1
モノタロウ、送料無料ラインの購入金額を3500円に引き上げ
-
2
【7月16日16時更新:物流配送状況】日本郵便/ヤマト運輸/佐川急便/西濃運輸/福山通運
-
3
ヤフオク!の質問機能からフィッシングサイトに誘導、ヤフーが注意喚起
-
4
エニーマインド、SNS活用による中国市場への越境EC支援を本格展開
-
5
キャッシュレス決済の満足度1位にPayPay、2位に楽天ペイ…GMOの調査
